Als Option für eine gewisse Kontrolle haben wir Snoopylogger . Wir wissen, dass es in vielen Distributionen enthalten ist und dass es nur eine Bibliothek ist, die für das Speichern der Befehle und des Benutzers verantwortlich ist, der sie mit syslogd ausführt.
Um Snoopylogger zu installieren, laden wir es vom Terminal herunter
wget http://downloads.sourceforge.net/project/snoopylogger/snoopy-1.8.0.tar.gz?r=&ts=1322946864&use_mirror=nchc
Entpacken Sie die Datei in das gewünschte Verzeichnis
tar xf snoopy-1.8.0.tar.gz
Greifen Sie auf das entpackte Verzeichnis zu
cd snoopy-1.8.0
Dann müssen wir es konfigurieren und einige Parameter ändern, indem wir auf die Datei snoopy.h zugreifen
nano snoopy.h
In den Dateien werden die folgenden Parameter eingestellt
#define SNOOPY_ROOT_ONLY 1 #define SNOOPY_MAX_ARG_LENGTH 12288
Speichern Sie die Datei snoopy.h und führen Sie den Konfigurationsbefehl aus
./configure
Dann haben wir kompiliert, um es mit den folgenden Befehlen zu installieren
make && make install
Wir starten das Programm mit dem folgenden Befehl
make enable
Dann müssen wir snoopy so einstellen, dass es automatisch ausgeführt wird, indem wir eine neue Zeile in /etc/ld.so.preload hinzufügen
Schließlich ist es ratsam, das Betriebssystem neu zu starten, damit es ordnungsgemäß funktioniert. Das gesammelte Protokoll wird auf der Route gespeichert:
- / var / log / message
- Oder es kann auch / var / log / auth und / var / log / secure sein
Wir verlassen die Sitzung und kehren zurück, um die Aufzeichnung der Einträge zu starten. Wenn wir unsere Nachrichtendatei sehen, sehen wir etwas Ähnliches.
Um die registrierten Protokolle anzuzeigen, verwenden wir den folgenden Befehl
tail /var/log/auth.log
Wenn Sie beispielsweise den Befehl ls vom Terminal aus mit dem Root-Benutzer ausführen, generiert der Befehl ls zum Auflisten von Dateien den folgenden Datensatz.
Dec 6 15:25:12 centos snoopy [13845]: [uid: 0 sid: 13833 tty: / dev / pts / 2 cwd: / root filename: / bin / ls]: ls
Sudosh zeichnet Sitzungen von Benutzern als Videos auf
Sudosh wurde entwickelt, um in Debian-Distributionen ausgeführt zu werden, wenn ein Benutzer Administratorrechte benötigt. Sobald es ausgeführt wird, speichert es die Daten in zwei Protokolldateien, in einer der Befehle und in einer anderen die Zeiten. Eine herkömmliche Methode zum Überspringen des Befehlsregisters ist die Verwendung von Anwendungen, mit denen Befehle ausgeführt werden können. Zum Beispiel wird ein Nano-Editor geöffnet und Anweisungen wie cat / etc / passwd werden eingeführt, um auf Systemschlüssel zuzugreifen.
Diese Technik ist mit sudosh nicht möglich, da im Protokoll angezeigt wird, wie der Nano geöffnet wird und wie die Befehle ausgeführt werden. Um es zu installieren, wird es heruntergeladen und kompiliert. Die Protokolldateien werden gespeichert in:
/ var / log / sudosh /
Verwenden Sie zum Überprüfen von Videos, die konvertierbare Textdateien sind, den Befehl sudosh-replay gefolgt von der Datei-ID. Ohne dieses Argument werden alle verfügbaren aufgelistet.